本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用适用于 DNSSEC 的客户托管密钥
<a name="dns-configuring-dnssec-cmk-requirements"></a>

当您在 Amazon Route 53 中启用 DNSSEC 签名时，Route 53 会为您创建密钥签名密钥 (KSK)。要创建 KSK，Route 53 必须使用支持 DNSSEC AWS Key Management Service 的客户托管密钥。本节介绍了有关客户管理密钥的详细信息和要求，在您使用 DNSSEC 时能够有所帮助。

在使用适用于 DNSSEC 的客户托管密钥时，请牢记以下几点：
+ 与 DNSSEC 签名一起使用的客户托管密钥必须位于美国东部（弗吉尼亚北部）区域。
+ 客户托管密钥必须是采用 [ECC\$1NIST\$1P256 密钥规格](https://docs.aws.amazon.com//kms/latest/developerguide/asymmetric-key-specs.html#key-spec-ecc)的[非对称客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks)。这些客户托管密钥仅用于签名和验证。有关创建非对称客户托管密钥的帮助，请参阅 AWS Key Management Service 开发人员指南中的[创建非对称客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-asymmetric-cmk)。要帮助查找现有客户托管密钥的加密配置，请参阅 AWS Key Management Service 开发人员[指南中的查看客户托管密钥的加密配置](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-crypto-config.html)。
+ 如果您在 Route 53 中自行创建客户托管密钥以与 DNSSEC 一起使用，则必须包含特定的密钥策略语句，以便为 Route 53 提供所需的权限。Route 53 必须能够访问您的客户托管密钥，以便它可以为您创建 KSK。有关更多信息，请参阅 [DNSSEC 签名所需的 Route 53 客户托管密钥权限](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC)。
+ Route 53 可以创建客户托管密钥供您使用 DNSSEC 签名，无需额外 AWS KMS 权限。 AWS KMS 但是，如果要在创建密钥后对其进行编辑，则必须具有特定的权限。您必须具有以下特定权限：`kms:UpdateKeyDescription`、`kms:UpdateAlias` 和 `kms:PutKeyPolicy`。
+ 请注意，无论您是创建客户托管密钥还是让 Route 53 为您创建密钥，您拥有的每个客户托管密钥都会单独收取费用。有关更多信息，请参阅[AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。